『父母へ、お酒飲もうね!』 両親への手紙(風)、2014年の振り返り。

しばらく顔を見せずにごめんなさい。

ひろこは、毎日、楽しく、過ごしているよ!

今日はね、仕事の機会でね、お父さん、お母さんに手紙を書く機会をもらったんだ。

父上母上

私の仕事とお父さんお母さんとどう関係するか、ってとても疑問だと思うのだけど、『簡単に説明できないといけないな、どうしたらいいんだろう?』って考えていたら、まったく業界もわからない、世代も一回り以上違う人に、“とてつもなくわかりやすく説明してみたら面白いかも”って、考えたんだよ。 🙂

池上彰の影響かもね!あ、それでね、この手紙(公式ブログ公開)は実は許可をもらって無い・・・というか、今朝たまたまね歩いていたら閃いたことで、勝手にやっているだけなんだけどさ。へんな子だよね、私って。3人姉妹の中で一番へんてこだよね。うふふ。まあとにかく、今日は仕事のこと、わかりやすく書くから。お父さんたちに伝わるといいな、って思ってる。

 

TechLION(てっくらいおん)はね、IT業界で働く人達が集まるんだよ。

開催時間は夜でね。お酒が入るんだ。大丈夫、如何わしいことじゃないから。

え?心配だって?大丈夫だよ。(もうテキーラ飲めるぐらい大人なんだから。) 😳 

そうね、だいたい、60人~100人ぐらい集まるの。3~4人ぐらいの有名な人や活躍している技術者に舞台に立ってもらって、MC(司会)の人達と話をするんだ。一人はプロレス好きの技術者で、一人は巨人好きの出版社の人だよ。

それでね、IT技術の話をただ話すだけなんだけど、これが面白いんだ。

今時の言い方だけど、トーク・ライブって言うんだよ。たぶん共通の悩みとか、ニュースとかが分かり合える同志!という感じで楽しいのだよね。

それでね、今年はね、4回催されたんだよ。どれが面白かったかって疑問には答えられないな。だってみんな大好きなんだもん。こういうタイプって八方美人っていうんだよね。ほんとにね、冗談はだけにしておくわ。へへへ!

とりあえず、雰囲気が伝わるかな、かんたんにまとめるよ。

 

TechLION vol.16 (2014年3月5日開催)

東京大学教授で新しいネットワーク技術を研究している江崎先生、業界では超有名人。

奥さんも技術者の大場さんと、ビックデータに詳しい鈴木理恵子さん、Go言語の稲田さん。

ってこんなキーワードを出してもわからないか。

ひとつだけわかりやすく言うと、エネルギー問題もITで解決しようよ、ってすごい提案があったりしたんだよ。お酒飲みながらだけどね。 😎

3月

TechLION vol.17 (2014年6月26日開催)

この回にはね、イベント大好きな人と、プログラマーイベントの実行委員・主催者さん達に集まってもらったの。

小山さん、前島さん、和田さん、角谷さん、鈴木さん。(歩くOSSコミュニティイベントの生き字引・PHP・Perl・Ruby・Python)

20年前はITの環境がなかったから、当たり前にイベントができなかったんだって。

IT業界が作り出してる文化っちゅうものがあるんだって、あらためて勉強になったよ。お酒飲みながらだけどね。 😎

6月

TechLION vol.18 (2014年9月25日開催)

はやぶさプロジェクトの寺薗先生と、ケータイの文字入力の元祖を作った増井先生、企画提案が得意な瀬尾さん。

この回は宇宙ITの話とか・・・モノづくりの話だよ。

あのね、みんなね、ジョブスに騙されているんだって!面白かったな~あれは本当に名言だと思うよ。お酒飲みながらだけど思ったよ!ほんと盛り上がった。 😆

もちろん私はiPhone使ってるし、Mac大好きだけど、便利だと満足したら、それで終わりってことだって気づいたよ。

9月

TechLION vol.19 (2014年11月25日開催)

年末はセキュリティの話を特集にしたんだ。2014年はIT業界はセキュリテイ問題にたくさん悩まされたんだ。

ITセキュリティの警備隊JPCERTの満永さん、政府CIO補佐官の楠さん、女性でセキュリティサービスの提案しているまりさん。

この回はたくさん人が集まったんだ。今年はね、OSSっていうあまりセキュリティに問題ないだろうと思われていたソフトウェアに、脆弱性が見つかった年なの。

OSSってコードがネットワークに公開されていて、それをみんなで直したり作ったりするものなんだけど、普段使われていないような機能に問題があるって見つかったんだよね。

4階建ての家に人が入れないような・・・4階の窓に・・・そもそも鍵がなかった・・・という話だよ。

説明が難しい・・・!!ひろこはもっと勉強が必要だなって思ってるよ。お酒飲みながらね。 😎

11月

 

以上!

 

今年もたくさんの人と出会って、いろんな話を見聞きしたよ。お酒飲みながらだけどね。 😉

とにかく毎日がたのしくてしょうがないよ!

正月は顔を見せに行くからね~!お酒飲もうね!

 

ひろこより。

 

※ 本格的に振り返りたい方は、こちらのリンクよりどうぞ。 ⇒ http://techlion.jp/history

#テキーラ!!!

10841528_10152482041480966_346294466_n

 

vol.19報告(2/2)―安心・安全なネットライフをめざし、議論は大いに白熱した

TechLION取材班のまつうらです。先週に続き、11/25に開催したTechLION vol.19のレポートをお届けします。

第三部第一部、第二部では様々なセキュリティーがらみの事件が起こった2014年を振り返ってきましたが、それでは明日私達はどうするべきか?

ということで第三部では「これからのネットセキュリティとリスクと心構えについて」と題してパネルディスカッションを行いました。セキュリティーの現場で活躍する本日のゲスト達が考える未来とは?そして私達はこれからの情報社会とどう付き合っていくべきなのか。

■第三部 今後の安心・安全なネットライフを目指して

用意したテーマは3つ。今後訪れる情報セキュリティーのリスクに対して、管理者・開発者はどう備えればよいか?ユーザーはどう備えればよいか?それでも事が起こってしまったらその時はどうすればよいか?目指す目標は同じでも、どうやって実現していくかという手段になると意見が分かれることもあり、白熱した議論になりました。

管理者・エンジニアは、今後のリスクにどう備えるべきか?

馮P:今年はいろいろな事件が起こりましたが、その影響で意識が変わったことは何かありますか?
満永:楠さんがおっしゃるように、オオカミ少年になるくらい今年大変だと。それで、管理者の人は「抱え込まない」っていうのがすごく重要だなと思いました。詳しい人を周りに置くのがいいと思います。FacebookやTwitter、LINEなど、SNSも発達していますからね。それに私はセキュリティを専門にしていますが、やっぱり我々だけセキュリティー対策に熱心でも仕方がないわけで、ぜひユーザ企業のシステム管理者の皆さんにも興味をもっていただきたいです。
馮P:例えばお三方をフォローするだけでも違いますよね。
まり:楠さんも、満永さんも、それぞれが反応する話題って違うじゃないですか。そしてアクションのとり方も人によって違うし自分も違う。「自分はこう思うんだけど人はこうしてる」っていうことを知りつつ、「自分はこういう対応をしたよ」っていうことを、互いに伝え合うことが大事なんじゃないかと。その時、振り返ると検証が甘かったって思うことも起きると思うんですが、そこは素直に「あ、違ってた」って言っていいと思います。間違えちゃいけないという風潮がこの業界には強いんですけど。むしろ「セカンドオピニオン貰えませんか?」という形で積極的にやりとりすべきではないかと。

楠:10年、15年前の空気だと、「オープンソースソフトはソースコードが公開で、みんなに見られてるから大穴は空いてないよね」という意識がありました。でもこれは明らかに嘘だってことがはっきりしました。みんなちゃんとやってるでしょ、って思い込んでいたのに、AppleやGoogleでさえ、調べれば5分でわかることを調べないで使ってきていた。ということが今年はっきりしたので、これからもまだまだ起こりますよ。特に今年は、OpenSSLCCSインジェクション問題とかSSL3.0の脆弱性とか相次いであって、「掘ればなんか出てくるじゃん」という感じです。
馮P:システムの組み方が変わりそうですよね。
楠:一つの脆弱性でデータを抜かれたり改ざんされるようなシステムは作っちゃいけない時代がきたんだろうと。例えばApacheだったら、Apacheの脆弱性に引っかかるかもしれないからフロントに別のリバースプロキシを置いておこうとか……。
満永:その話でいうと、システムのネットワーク構成には思うところがあって、そういった対応をすべきであるというメッセージをセキュリティーの専門家が十分に出していないかなと。被害を受けてからああしろこうしろと言われても「いやいや初めから言ってよ。今更難しい」ってなるかもしれませんので、開発あるいは設計時に利用できる分かりやすい形にまとめておくべきです。せめて、Webアプリケーションセキュリティでいうところの徳丸本のようなバイブル的なものがあればよいんですが。

満永:少し話がずれますけど、社内のネットワーク構成をなんとかしたいという気持ちがかなりあります。標的型攻撃が本当に怖いのは入られた後の、社内から社内に攻撃されて蔓延して、1年とか長期にわたってデータが抜かれるということなんです。なんでそうなるかといえば、社内から社内の攻撃って殆ど意識されていないからなんです。
楠:社内の構成に関しては、簡単じゃないと思っています。というのは、ファイヤーウォールの内側にいれば安全だという思い込みがみんな中々なくなってない。日本は伝統的に社内システムの統制ができている会社が非常に少ないです。情報システム部門以外が自分の予算で買った野良サーバーが、実は重要なファイルサーバーになっていたりして。
法林GM:それは危険な匂いがしますね。
楠:「いやアンチウイルス入ってるから大丈夫だよ」って言うけど、最近はそれじゃ検出できないものが多くて。かといって、振る舞い検知型のアプライアンスサーバーの見積もりを立てると目玉が丸くなってしまうというパターンがありがちです。
満永:そういったものを買うって言う手段もありますけど、ネットワーク構成が悪ければいたちごっこなわけで、ログをとれる場所を増やすとか、社内から社内へのACLをちゃんと作るとか……。
楠:それは教科書的には全く異論はないんですけど、後からそれをやろうとすると大体はACL掛けた瞬間にどこかのユーザーが「ぎゃー!」と言うわけですよ。
満永:教科書的というんですけど、私は現場でやっていますので、教科書的でも効果はありますよ。ログを集めてホワイトリストを作成してというのは現実的だと思います。どうでしょう。

ユーザーの立場での日々の心構えは?

第三部(1)馮P:今度はちょっと毛色を変えて今度はユーザーの立場で。普段スマホやSNSを使っていて個人情報が漏れたり、ネットバンキング被害もそうですがそういったリスクに対する意見はありますか?「使わなきゃいい」という意見もあるかもしれませんが。
まり:まさに使わなければいいという理屈で過ごしてきたんですが、一方で恐怖心のないユーザーはパッと使ってしまうことで逆にこちらよりもどんどん詳しくなっていく。なので、他の人が興味を持っていることに関しても、「それってどうなの?」って情報収集することが必要かな、と。
楠:やっぱりIDは抜かれる時は抜かれるんで、抜かれて素早く気づけるようにしておくことですね。買い物をするたびにメールが届く設定にしたり、面倒臭いと思っても多要素認証を試してみるとか。あと、Androidどうにかならないですかね。とりあえずNexusはそれなりに安全だけど、未だにバージョン2.x端末がいっぱいある。でもアップデートしたくないじゃなくて、できないという。キャリアに放置されたAndroidデバイスというのが一番マズいです。そして実際に色々なインシデントが裏で起きているようです。それからSNS時代の個人情報ですね。隠したつもりになっているのが一番ヤバくて、書き込みにアクセス制限はかかっていても画像ファイルはURLが分かれば見えてしまうということもよくある。だから写真とか隠せるとはまったく思わない。内緒話はSNSではしない。どんなに内緒にしてもNSAは読んでるかも知れない。
会場:(笑)
満永:利用のガイドラインを教えることが大事なんですよね。変なこと書かないっていう。結局何を信用するかですよ。でも例えば、皆が使ってるGmail。Googleの認証局はGoogleがやっていたりしますが、じゃあGoogleは信用できるのか、となってしまう。あんまり小うるさく言いすぎて楽しくないものにしてしまうのも僕は嫌だなと。セキュリティー屋にあるまじき発言と怒られそうな気がしますが、事業者側が十分にセキュリティを考慮するという前提で、利用者にとってインターネットは楽しいものであればいいなあというのが私の思いで……。
法林GM:楽しくない事例がいっぱい出てきて、それに対応しているわけだ。

馮P:ネット決済時の注意点などはどうでしょう。ネット上での買い物もだいぶ普及してきましたが、一方で個人情報はどこまで気にすればいいんだろうと気になります。
楠:ICチップ対応のクレジットカードが普及して偽装カードの被害は殆ど無くなったんですが、それに代わってネットのIDを奪取されることによる被害が増えてきているというのが実情です。注意深く使わなきゃいけないですけど、対策にも限界があるなかで「これくらいやったら良い」ということを敢えて言うと、まずは知らないところでログインしたり、物を買った場合、必ずメール届くようにしたほうが良いということ。それと毎月の明細はしっかり見て、自分が支払った記憶があるか確認した方が良いです。とりあえずその2つをしっかりやっておけば、一度抜かれたとしても早く戻ってきます。
まり:ネット決済の限度額をきめ細かく設定できるといいですね。普段から高額な買い物をするわけではないので、「この1週間の間だけちょっと高い買い物するからその間だけ限度額上げてください」というやり方にする方が、カード会社の判断で不審な使われ方したカードを止めるというやり方よりも、利便性も確保できるし、一つの自衛手段になると思います。

困った時はどうすればよいのか?

馮P:いろいろと防衛策のご意見を伺いましたが、それでも何か起きてしまった!という時はどうすればいいんでしょうか。対処のしかた、あるいはどこに連絡すればいいかなど。やっぱりJPCCERTですか?
満永:はい、info[at]jpcert.or.jpにメールをいただくかWebサイトのフォームから受け付けていまして、できるだけ適切なアドバイスを心掛けています。ただ一点申し上げておきたいのは、ウイルスに感染してしまったPCをクリーンにするという実作業はセキュリティーベンダーにやってもらうべきものであって、うちは「こうした方がよいんじゃないですか」といことをお伝えするところですね。
まり:セキュリティーベンダーに連絡しようと思った時、いろいろある中で私のひとつの目安には、「パッとサイトを見て、急いでいる人はここ、っていうのがわかりやすい」ところ、それから「困っている人に優しい」というのがあると思います。お付き合いしてみてそこでさらに好き嫌いを判断すればいいって。担当者と一緒にやってみた内容や印象から判断するというやり方もあると考えています。
楠:二通りあると思っています。普段そういう目に遭って気が付いた時の対応としてはそれでいいと思うのですが、Blasterの当時を思い出すと本当にヤバい時って助けてもらえないと思った方がいいと思います。本当に大きな問題だと同時多発的に起こります。セキュリティベンダーもお得意先だけていっぱいいっぱいになるでしょうし、JPCERTの電話も埋まっていると思った方がいいですし。某省庁が「お問い合わせはこちら」と、間違って電話番号出したおかけで、数週間くらい業務が止まってしまったこともあります。

満永:企業内のCSIRT構築支援を行っていたことがあるのですが、CSIRTと聞くと重く捉えられることがありました。そういう時には私は、「あんまり重く考えず、頭の体操からやってみましょう」という話をします。例えば、どんなサーバーでも構わないのですが「これだけは止められない」というサーバーを1つ選びます。そして広報だったり営業だったりといった役職の人達を集め、例えば「そのサーバーが不正アクセスの侵入を許してしまいました。このままでは他に被害が拡大していきます」という想定をして、その時にどう対応しましょうか、ということを、事前に1回、1時間でもいいので話し合っておくんです。ユーザーへの連絡は?ベンダーを呼ぶとしたら?止めるとしたら段取りは?売上への影響は?など、具体的に。
馮P:防災訓練みたいですね。
満永:まさにそうです。社内の防災訓練はみんな1年に1回くらいやっていると思います。それの情報セキュリティー版を関係者の間で1回やってみるんです。関係者を1回1時間集めて話し合うだけでも十分な「気付き」が得られます。
馮P:そういう旗振りを関係者の方ができるといいですね。あっという間に時間が来てしまいました。皆さんありがとうございました。

◇ ◇ ◇

今回のTechLIONは、セキュリティー対策に関して各自が考える手段の違いにより、いつもにも増して白熱した議論が展開されました。そんな議論のさなか、満永さんが発した次のコメントが私にはとても印象的でした。

水道の水は引っ越して初日に蛇口を回しても飲めますよね。それはユーザーが何もしなくても、裏側にいるいろんな人たちの努力で安全性が確保されているからです。将来的にはインターネットも、裏の業者達の努力により、ユーザーは何も意識せず、LANに繋いだだけで楽しく生活できるようになってほしいな。

議論が白熱するのも、皆さんこういう想いが根底にあればこそだと思います。ゲストの皆様、本日は非常に興味深い話をありがとうございました。(下の写真は、毎回恒例の出場者記念撮影。写真にマウスを重ねると……)

■今年も観戦ありがとうございました

今年のTechLIONはこれでおしまいです。ゲストの皆さん、会場まで観戦にきてくださった皆さん、ネットを介してご覧になり応援してくださった皆様に、今年もスタッフ一同に代わりまして感謝を申し上げます。来年もまた、頑張りますので是非ともよろしくお願いします。

vol20

そんな気になる来年のTechLION vol.20ですが……。←あれ、まだvol.20の文字にリンクがない!……はい、準備は一日も早く告知ができるように努力します。しかし次回は4周年目にして記念すべき20回目のTechLION。テーマはもう決めています。20という数字にあやかってインターネットの20年を語ります。

それではまた来年のTechLION vol.20で!

vol.19報告(1/2)―2014セキュリティー事件の振り返り、専門家もユーザー同様に悩み戦っていた

TechLION取材班のまつうらです。今週そして来週のブログでは、11/25に開催したTechLION vol.19のレポートをお届けします。

本日のゲスト
本日のゲストは、全員スーツを着ていた(対するMCがカジュアルすぎ?)

もう幾つ寝るとお正月……、にはちょっと早いですが今年もいよいよ最後の月に。この2014年はITエンジニアにとっても本当にいろいろありました。というわけで本日のTechLIONは、酒を酌み交わしながら今年一年を振り返る、一足早い忘年会なのです。

今回のゲストは、そんなITエンジニアの中でも特にいろいろあったであろうセキュリティー業界からお呼びした三選手。HeartbleedにShellshock、もう少し一般に知られている話ではベネッセの史上最大級の顧客情報漏洩事件など。今年の騒ぎは近年稀に見る規模でしたが、そんな一年を皆で振り返っていきましょう。

当日の全セッションの模様の録画(第一部第二部第三部エンディング)を公開しています。(撮影協力:日本仮想化技術様)

■第一部 2014年第1Q,第2Qのセキュリティー問題

今回は三部構成で、第一部は今年の上半期、第二部は下半期のセキュリティー問題を振り返っていきます。そして普段なら一人ずつ選手が登場するところですが、忘年会形式ということもあり、最初から最後までMCの二人を交えた五人での試合を開催。

満永さん楠さん

各選手を簡単にご紹介しておきましょう。

左の写真から、満永拓邦@JPCERT/CCさん。コンピューターセキュリティーに関する各種情報を発信する組織として有名なJPCERT/CCに勤務していて、セキュリティー分野で何か事件があった時などNHKにも専門家として登場しているそうです。

右は、楠正憲@Yahoo!JAPANさん。インターネット総研やマイクロソフトを経て、現職に就いたそうですが、転職したり役職に就いたりするとセキュリティーの事件が起きるというジンクスがあるそうです。Blaster や今年のHeartbleedも、やはりそのタイミングで起こったといいます。

もう一人は、「まり」さん。大きなサイズの写真掲載なくてごめんなさい。(彼女と会えた方はライブに来て下さった方の特典?!By事務局)セキュリティーコンテスト“SECCON”の女性限定ワークショップ“CTF for GIRLS”でWebセキュリティー分野の講師を担当するなど、セキュリティー系のイベント活動などをされているそうです。

それでは振り返りトークの始まりです。当日のトーク中で交わされた話題をいくつか紹介していきましょう。(なお、トーク中の各ゲストの発言は所属組織の見解ではなく個人の意見であるとのことですのでご承知おきください)

自動アップデートポリシーの是非が問われた

馮P:1月にはアップデートハイジャッキングがあったりしましたね。
満永:そうですね、PCを使っていると、アップデートがないか調べにいくんですよね。そこが攻撃されるといつの間にかウイルスが付くという。これは結構ショッキングでしてね、我々セキュリティーの人間は今までアップデートしましょうって言い続けてきましたので。新しい時代のフェーズに入ったな、と個人的には思っています。新時代ですよ!これを防ぐのは原理的に難しい。
楠:でも90年代後半あたりって皆意識して自動アップデートしていなかった気がします。ただ、Blaster 事件とかあってやっぱりアップデートバイデフォルトじゃなきゃ駄目だよねっていう、パラダイムシフトが2002年頃に起こって。
まり:私も怖いな、って思います。「とりあえず公のところが出しているアップデートは大きい会社が出すものは基本的には大丈夫なはず、きっと大丈夫」ってやってきての事ですからね。
満永:Windowsアップデートって大丈夫なんですか?
楠:最近は正しいパッチでも青画面が出てきたりしますね。
会場:(笑)
馮P:映画の世界みたいになっちゃったわけですよね。
満永:先週のInternet Weekでも話題になっていましたけど、ゴルゴ13みたいだなと。今までとは違う、お金目的じゃない攻撃者がいて、そういう人たちなのかなって。

脆弱性の発覚した稼働サーバーは「止めろ」で片付く問題か?

heartbleedロゴ
heartbleed問題の啓蒙ロゴ

馮P:第二四半期はHeartbleedがありましたよね。これは結構デカい。
まり:同じ頃、バンキングマルウェア問題があって、あれはサイトデザインがひどいなという話がありましたが、heartbleedに関しては私はあのロゴのデザイン(右図)が秀逸だなと思います。
会場:(笑)
楠:会社が大騒ぎになったので翌日役所に行って「ちゃんと各省対策してる?」って聞いたら、「金融庁が全部の銀行にやっているかどうか問い合わせたよ」って話を聞き、ちょっと尋常じゃないなこれはと。役所が同じペースで対策を促すなんてそうは無いんで。

満永:いやぁ4月はひどかった。OpenSSLもそうだし、他にもStrutsの脆弱性がその時出て、予定していたセキュリティーの飲み会に1人しか来られなくなっちゃったなんてことがありましたよ。でも、Strutsが危ない、OpenSSLが危ない、って頭ではわかっていても簡単には止められないんですよ。特にユーザーがいるサーバー、売上があるサーバーは。
楠:止める止めない話はけっこう深いですね。ぶっちゃけ役所は楽ですよ。売上立てる立てないより失敗しないほうが大事なんで。でも会社って毎日売り上げがあるわけだから、止めるかどうかは僕は慎重に判断すべきだと思っています。Confidentiality(機密性)は大事ですけどAvailability(可用性)を無視した議論ってビジネス上成り立たないと思うんです。更に言うと、ポートを外に向けたアプリケーションは全て、リスクがあることを前提にしてシステム設計をしていれば止めなくて済むはずなんですよ。例えば外側のサーバーが踏み抜かれたとしても、そこから直接DBを叩けなければいいようにするとか。
まり:まさにその頃、自分が担当しているシステムでもOpenSSLのバージョンを上げる上げないの検討をしてました。楠さんの話を伺ったうえで振り返ると、何段階かまさにシステムを止めるポイントになるところはどこかって考えながら作っていくべきだったと思いました。
馮P:この出来事がこういった問題を考える契機になっていたんですね。

■第二部 2014年第3Q,第4Qのセキュリティー問題

2014年下半期
2014年下半期もいろいろ事件がありました(まだあるかも)

第一部では、他にもビットコイン消失事件PC遠隔操作事件など興味深いトピックがたくさん出てきたのですが、続いて下半期のトークに移りましょう。まだ今年は終わっていませんが、こちらも大きな事件がありましたよね。

注意喚起は迅速にすべきか慎重であるべきか

まり:第三四半期の出来事に「模造サイト3s3s.org」って書いてありますけど、これを書き足してもらったのは私の要望でして、脆弱性がということよりも実態とはかなりかけ離れた形で世の中に取沙汰されてしまったのが印象的でした。
満永:3s3sっていうものは伝わっているもんなんですかね。
馮P:この問題今日出る前に知ってたって人は会場でどのくらいいらっしゃいますかね?せっかくなので満永さんに説明していただければ。
満永:3s3s.orgって、いわばプロキシのドメインで、目的のサイトがブロックされていても3s3s自体がブロックされていなければ、見に行ける。例えば中国からはFacebookが見られませんけど、この場合3s3sがブロックされていなければ大丈夫なわけです。ですが、例えばここを経由してTechLIONのページを見た法林さんが、「あ、偽物のページがある!」って思い込むわけです。周りの情報を振り回されずに、紛らわしいけどプロキシなんだって冷静に対応すればいいんですけど、そうはならなかったのがこの件です。

楠:「これはプロキシだから出さなくていいよ」と私は答えたものの、でもフィッシングサイトと判断し得る要件は全部満たしているので実はこれ、教科書通りに判断するとはじくのって意外と難しい。この間日本の警察で大規模な取り締まりをやりましたけど、今回捕まった被疑者の関わった18~19億円のうち、4.5億円くらいは実際そこ経由でしたし。意図があることはわかるんですけど、意図があるからこれは悪くないんだっていうのはかえってすごく有害だと思います。なにせここはSSLで悪用すればパスワードもクレジットカード番号も盗めますし……。だからこの件で注意喚起を促した人に対して、「あいつら情弱だよね」と単純に馬鹿にする人は、もっと議論したほうがいいんじゃないですか。
満永:いや、喚起した人も馬鹿にするというつもりは一ミリもなくてですね、逆に注意喚起を出した理由を知りたいですね。
まり:ただ、今まさに、その判断をどうするかが重要ですね。そのためには技術的にきちんと理解できている人が必要ですし……。今回発生したbashの事件の時に思ったのですけど、セキュリティーに対する速度が上がっていて、早く注意喚起しなきゃいけないというのは物凄くよい流れなんですけど、一方であと1日あればもうちょっと正しい判断ができたみたいなことも今回騒ぎになってしまったかな、と。
馮P:情報判断は難しいですよね。企業の広報の方が判断するのとエンジニアが判断するのでもだいぶ差がありますよね。

『NHK級』の脆弱性

第四四半期の出来事
今年は、第四四半期になっても大きな脆弱性が相次いだ

馮P:bashの問題、いわゆるShellshockは今年のワースト脆弱性かもしれないぐらいのレベルですか?
満永:そうですね。もうTechLIONに来られないくらいの脆弱性ですね。これはヤバイと思って、私NHKに出ました。ちょうどパスワードリスト型攻撃の取材があった日だったんですけど、「パスワードリスト言っている場合じゃないです、お客さん。今日はbashですわ」みたいな。
馮P:でも言われた側は「bash、はぁ???」って感じじゃないですか?
満永:冗談みたいな話ですけど、今回のBash対応の中で「ジョーダンファイブ?『バッシュ』ってバスケットシューズですか?」って言う人もいました。そっちかー!って。
馮P:あとそれからドメイン名ハイジャック。満永さん、この件でもNHKに出たんでしたっけ。
満永:ええ出ました。これは例えば、techlion.jpっていうドメインを乗っ取られて、見に来た人が攻撃者のサイトに誘導されるというものなんですが、気持ち悪いのはその乗っ取りを許してしまう原因が十分に解明できていないところなんです。先ほどゴルゴの世界って話をしましたが、この攻撃のものすごく怖いのは、ドメインを乗っ取るからといって無差別攻撃なわけでもなく、標的型なんです。用事が済んだら一日二日で戻してしまい、しかも私をターゲットにしているなら私が接続しに来た時だけマルウェアを送り込む。攻撃者もこれやり過ぎじゃないか!と思います。

法林GM:あと満永さん、ドメイン名ハイジャックでNHKに取材されて放送された時に用語がすごく変な用語になって困ったみたいなのがあったんですよね。
満永:そうなんです。NHKに出演したことがある方はわかると思いますけど、言葉を変えられるんですよ。例えば「OS」使っちゃダメです。「ウェブサイト」使っちゃダメ。「マルウェア」もダメだし……。それで「ホームページを運用する基本ソフトウェアのパスワードが盗まれる」みたいになるんですけど、何を言っているんだろう?って(笑)。言い間違えたら「はいカットー!!」です。
楠:これって結局言われた素人の人もわかんないし、OSがわかるユーザーにも伝わらないし、誰に向かって報道してるんでしょうね。
満永:あのねぇ……、もう楠さんのおっしゃる通りで、毎回この疑問を記者の方に投げかけてますよ。もともとわからない人が報道見てもわかりませんけど、わかる人が見てもわからなくなっちゃいますよね。
会場:(笑)

満永:でもその反面、キーワードだけで動ける組織って多いんですよ。bashの時も止める止めないで相談を受けて、私の部門としては止めることをお勧めするわけですが、先程もあったように売上を立ててるサーバーの、特に営業部門の人相手だと「bashが危ないから止めましょう」と言っても、「bashって何だ」ってなって全然話が噛みあわないケースもあって、「NHKで言うくらい危ないんですよ!」って言うとこれは有効な説得材料になることもあると聞いています。
法林GM:そういう説得をするんだ。NHKクラス。
満永:ええ、「JPCERTが注意喚起を出した~」では説得力が足りないこともあるようです(笑)。
楠:NHK級って非常にわかりやすい!でも僕らはそろそろオオカミ少年なんですよね。オオカミ少年に見られてしまうほどに、今年は大きすぎるセキュリティー問題がこんなに出てきてしまったんですよ。

◇ ◇ ◇

今年一年のセキュリティー事件の振り返り、いかがだったでしょうか。このレポートで触れられただけでも実にたくさんの出来事がありました。

ところで観戦していて、個人的に意外だったのは、この業界の方は脆弱性に対しては血も涙も無い対応を促すのかと思いきや、そういうわけではなかったということでした。Availability(利便性)をないがしろにしてまでの無理を強いる考えを持ってはいませんでしたし、自動アップデートを推奨すべきか否か、注意喚起をどう促していけばいいのかなど、一般ユーザーと同様に日々悩み、ユーザーと同じ視点でセキュリティー問題と戦っているんだなあと気づきました。

今週のレポートはここまでです。次回は「2015年以降の安心・安全なネットライフ目指す」と題してパネルディスカッションを行った第三部の模様をお届けします。お楽しみに。

vol.19 ご来場ありがとうございました!そしてvol.20のお知らせ

本日はTechLION vol.19にご来場ご観覧いただき、誠にありがとうございました。
今年のセキュリティ事情を振り返る、少し早い忘年会はいかがでしたか?

振り返りはこちらでどうぞ☆
http://togetter.com/li/749840

vol20-yokoku

さてさて、次回のTechLION vol.20。おかげさまで4周年を迎えます!
20回目のTechLIONはインターネットの20年を語ります。
桜の咲く頃、またお会いしましょう!!

随時情報を更新しますので、当ブログやページをぜひチェックしてくださいね♪

TechLION vol.19 開催間近&Ustあります

いよいよTechLION vol.19開催間近となりました。
当日券もご用意しております!みなさまのご来場をお待ちしております☆
 
そしてTechLION vol.19はUstreamでも配信します。

Ustreamからのかたは、ぜひ #techlion をつけてどしどしご参戦ください!

明日はTechLION vol.19でちょっと早めに年忘れ!協賛品のご紹介です!

こんにちは、星です。
さて!いよいよ明日はTechLION vol.19です!
セキュリティですよ~~!

大変ありがたいことに、増席もしておりますので
当日はみなさまとわいわい盛り上がれると思います!
一番早い?忘年会としても、楽しんでいただければ幸いです。

そしてイベントを彩る協賛品のご紹介です!
今回も豪華でございます。

========================

まずは技術評論社様からご提供頂いた書籍のご紹介です。

DSCN0034

φ(.. )Software Design 2014年12月号
φ(.. )Android Studioではじめる 簡単Androidアプリ開発

DSCN0035

φ(.. )関数プログラミング実践入門  ──簡潔で,正しいコードを書くために
φ(.. )フラットデザインで考える 新しいUIデザインのセオリー

DSCN0036

φ(.. )裏口からのC# 実践入門 ―バッドノウハウを踏み越えて本物へ!!

 

そしてKADOKAWA様より、「角川インターネット講座 第2巻 ネットを支えるオープンソース」をご提供いただきました!
DSCN0031

 

当日は是非みなさま抽選会にご参加くださいね!
ドリンクも飲んで!アンケートも書いて!(@ω@)

========================

(σ・ω・)σお願いです
開場は19:00でございます。これより早くお越しいただいても
お待ちいただくことになってしまいます!
あわてずに19:00以降にいらしてくださいませ~

ではでは、当日みなさまにお会いできるのを楽しみにしております!
( ´ ▽ ` )ノ

vol.19 増員のお知らせ!

事務局からのお知らせです♪

おかげさまで 11/25(火) vol.19が満席になりました☆
ありがとうございます!
 
えーっ、まだ申し込んでない!
 
というかたに事務局から朗報です!
 
定員を増員したので申込可能になりました!
前払いは11/23午前5時、会場払いは11/24午前5時で締切です。
お申し込みはお早めに!!
 

参加申し込み方法

  • 料金パターン1(事前予約・事前支払) 2,700円(1ドリンク700円分込)
  • 料金パターン2(事前予約・会場支払) 2,700円(1ドリンク700円分込)
    (当日受付にて現金をお支払いください)
  • 料金パターン3(予約なし・会場支払) 3,200円(1ドリンク700円分込)
    (事前予約で満員となった場合、ご入場できなくなる可能性があります。あらかじめご了承ください)
  • 事前予約フォーム
    TechLION vol.19

2014年最後のTechLIONはセキュリティ大特集!11月25日開催

TechLIONプロデューサーの馮です。こんにちは。

早いもので2014年も残すところあと1ヶ月とちょっととなりました。今年もいろいろな出来事がありましたね。TechLIONでは,3月のvol.16ではメインゲストの江崎先生他,バラエティに富んだゲストに迎えてインターネットと働き方をテーマにした回を開催し,6月にはPerl/PHP/Ruby/PythonのLL4大言語をテーマにしたLL大特集の回を開催しました(法林GMも初めてTechLIONパネリストとして登壇!)。そして,先の9月に開催したvol.18はうってかわって,モノづくりをテーマに,増井先生による全世界インタフェースの話やはやぶさのスポークスマン寺薗先生による宇宙とインターネットの話などなど,大変興味深い内容で開催してきました。

2014年のTechLION

2014年最後のTechLIONのテーマは「セキュリティ」

そして,2014年を締めくくるvol.19で取り上げるテーマは「セキュリティ」です。

システム管理者やネットサービス事業者の皆さんにとって,2014年は年初から頭の痛い問題が多かったのではないでしょうか。そう,2014年のインターネット界隈を振り返ってみるとHeartbleedに始まり,BIND脆弱性やbashに関するShellshock,OpenSSL 3.0脆弱性,そして最近ではドメイン名ハイジャックなど,あまりにもでかすぎるセキュリティトラブルが乱発した1年でもありました。

他にも大手企業による個人情報流出事件およびその余波,LINEをはじめとした各種サービスのアカウント乗っ取りなどなど,サービス提供者やエンジニアだけではなく,ユーザ側の立場としてもいろいろと考えさせられる事件が多かったように思います。

そこで,vol.19では「2014年のセキュリティ」について,識者の皆さんとともに振り返りながら,2015年の健全かつ安全,安心のネット社会を過ごすためのポイントについて考えてみます。お呼びする識者は次の3名です。

多彩なゲストともに2014年のセキュリティ事件を振り返り,安全・安心な2015年を迎えよう!

まず,JPCERT/CC 早期警戒グループリーダを務める満永拓邦氏。常日頃から,ネットセキュリティに関するアンテナを張りながら標的型攻撃などサイバー攻撃に関する分析業務に関わっておられます。まさに今回のテーマにうってつけの登壇者といえるでしょう。

2人目は,ヤフー株式会社CSO Board, 決済金融カンパニー 情報セキュリティー責任者の楠正憲氏。肩書からもわかるようにさまざまな情報セキュリティに精通し,また,2012年から政府CIO補佐官を務めるなど,情報化社会における安全に向けたコメントを伺えることでしょう。

最後は紅一点,日本最大のセキュリティコンテストSECCONから,女性限定ワークショップ「CTF for GIRLS」運営メンバでもある まり氏に登壇していただきます。CTF for GIRLSからの話題をはじめ,さまざまな角度からのコメントが期待できます。

そして,今回はこれまでのように登壇者によるプレゼンテーションは一切行わず,以下の構成で,前編パネルディスカッション形式で開催します。

  • 第1部:2014年前半の振り返り~Heartbleedからビットコイン問題まで
  • 第2部:2014年後半の振り返り~BIND,bash,OpenSSL脆弱性発覚!ネットサービスのアカウント問題も
  • 第3部:2015年のネットセキュリティはどうなる?~僕たち・私たちの安全なネット生活について考える

実はどこよりも早い2014年の忘年会です

表のテーマとしては2014年のセキュリティですが,僕個人としては(おそらくスタッフ全員w),ぜひ参加者の皆さんと一緒にお酒を呑んでこの1年を振り返ってみたいと思います。

11月25日,六本木SuperDeluxeでどこよりも早い2014年忘年会を楽しみましょう!

●開催概要:TechLION vol.19

●事前予約はこちら↓
事前予約フォーム
TechLION vol.19

次回,vol.19直前情報はスタッフの星さんがお届けします~。

$ find /セキュリティー | grep シェルショック > シェル温泉

シェルショックの翌日が前回のTechLION vol.18だったUSP友の会会長、そして世を忍ぶ仮の姿の産業技術大学院大学の上田です。ええ、生きてます。生きてますとも。

vol. 18当日は、スタッフや馴染みの方から、「上田が脆弱性を埋め込んだわけではない」と、異口同音に慰めていただきました。「ああ、大人というのは、手負いの人間には、刺激して余計な恨みを買わないように加減するんだなあ」と思いました(←素直に感謝しやがれ)。

確かに私がバグを埋め込んだわけではありません。しかしながら、私は書籍で「bashでCGIウェーイ」とやってしまっております。これを試そうというのは、やばければすぐ対策を打てるソコソコ分かってる人という想定で書いていましたが、よくよく考えれば初心者でも作れないわけではありません。シェルスクリプトで何をしたら危険かは書きましたが、bash自体に脆弱性があったらどうするかをちゃんと書いておくべきだったのは反省点でした。そんなこと、先手を打てたとも思えませんが・・・。

そこで最近では、みそぎのためにヨザワツバ⚪︎氏のごとく自虐的な情報商材(?)↓を作ってLTしたり、



そして、↓dashのコード読みという荒業をしたりと、

/* マクロこわい!gotoこわい!*/
#define CHECKEND()      {goto checkend; checkend_return:;}
#define PARSEREDIR()    {goto parseredir; parseredir_return:;}
#define PARSESUB()      {goto parsesub; parsesub_return:;}
#define PARSEBACKQOLD() {oldstyle = 1; goto parsebackq; parsebackq_oldreturn:;}
#define PARSEBACKQNEW() {oldstyle = 0; goto parsebackq; parsebackq_newreturn:;}
#define PARSEARITH()    {goto parsearith; parsearith_return:;}

いろいろやっております。dashのコードが一通り分かったらシェルでも作ろうかという勢いです。

11/25(火)。死ぬ。

ただ、そんなことは個人的なことです。次回のvol. 19、なんでこんな巡り合わせなのか知らんけどセキュリティー特集デス。おそらくシェルショックの話も出ると思います。vol. 18のときもステージからいじられましたが、またいじられて、挙句「死ね」とか言われても不思議ではございません。

●開催概要:TechLION vol.19

●事前予約はこちら↓
事前予約フォーム
TechLION vol.19

出演は満永拓邦さん、楠正憲さん、まりさんです。お手柔らかにお願いします。いや、ハードにやっちまってください。

もう一つ告知

おそらく私はもうすでに死んでいますが、日本UNIXユーザ会さんが12/13, 14(土、日)に温泉でシェルスクリプト合宿を行います。USP友の会も共催扱いにしていただき、講師(シェル芸十段×2)を派遣致します。少々お高いですが、シェルとカニの殻(シェル)と温泉ストリームを思う存分楽しめますので、是非ご検討を!

というわけで、辞世のブログでした。次回は馮さんの直前情報〜

すべては笑顔のために!

皆様、こんにちは!
先週、法林さんから「最近ビリーズブートキャンプで鍛えているというウワサの」とご紹介いただきました、スタッフの高坂です。

今頃?という感じですが、ブートキャンプ、はまりました。
毎日ビリー隊長に会えるのを楽しみにしている今日この頃です(笑)

ところで、先週末の3連休は、みなさんどう過ごされましたか。

当初は3日間雨の予報でしたが、後半見事に晴れましたね〜!
さすが実りの秋ということもあって、都内では、様々な食のイベントが催されていていました。私はどこかに行こうかと思っていたのですが、迷ったあげくどこにも行かず仕舞いで終わってしまいましたが・・・。(まぁ、いつもこんな感じですw)

話が変わりますが、
みなさん、「神田カレーグランプリ」ってご存じですか?
(ITの人なら知ってそう…)

実は、この連休で開催されていたのですが、グランプリを取ったお店がとっても気になります。

そのお店は「100時間カレー B&R 神田店」。

100時間カレーとはなんなのだ?!

100時間かかってようやく食べきれるカレーなのか。
100時間でどれだけ食べられるのか試せるお店なのか。。。

いやいや、違いました。

100時間カレーとは「100時間かけて作る本格和牛欧風カレー」だそうです。

以下、神田カレーグランプリ公式サイトより引用
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
厳選黒毛和牛と香味野菜、果物の旨味を100時間以上かけて溶け込ませた本格欧風カレー。カレーには黒毛和牛を贅沢に使用。さらに玉ねぎ、人参、セロリ、トマト、リンゴ、バナナ、マンゴー、パパイヤなどの香味野菜、果物をたっぷり使い、独自スパイスとともに、濃厚な味わいを引き出した、体にも優しい健康カレー。
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−

しかも、店長さんのこだわりがすごいっ。
「お客さまの笑顔を見るために、手間ひま掛け徹底してこだわって作っています」だそう。

なんて素敵なんでしょう。
ますます食べたくなっちゃいましたよ。

さらに食べログの説明を見ると、
☆10個のトッピングの中から好きな物を選べて
☆ご飯の大盛り・特盛り無料

お腹いっぱい、幸せになりそうな感じが・・・。

で、なにげにその他のお店も気になりだして、カレー食べ歩きがマイブームになりそうな予感。

写真は「ゴーゴーカレー」です!
写真は「ゴーゴーカレー」です!

カレー大好きなんですよ。

がっつり辛い本場のカレーが。
タイカレー、インドカレー、なんでも来いっ。
あえて日本人好みの味にしていないお店、大歓迎。

あぁ、旨くて辛いカレーが食べたい。

カレーと言えば、TechLION vol.19が開催される SuperDeluxeのカレーも美味しいですよ!

そして、今年最後のTechLION、出演者が決定!
旨いカレーを食べながら、スパイスたっぷりのトークで、一緒に盛り上がりませんか。
今回は3種のカレー(満永さん、楠さん、まりさん)でお楽しみくださいww

皆様のご来場、お待ちしています。

●開催概要:TechLION vol.19

●事前予約はこちら↓
事前予約フォーム
TechLION vol.19

それでは、来週は上田さんです〜。お楽しみに^^